0
0
Pesquisando conversas em fóruns russos e mídias sociais o portal Zeit Online concluiu que um cidadão chamado Nikolay Z. é sócio do REvil
Policiais alemães revelaram revelaram que um homem russo identificado por enquantro como “Nikolai K.” é um dos principais membros do grupo de extorsões REvil, conhecido por seus ataques de alto perfil a grandes empresas em todo o mundo – entre elas, os Laboratórios Fleury, em São Paulo, e a JBS America, nos EUA, subsidiária da brasileira JBS. Segundo o portal alemão Zeit Online, o russo se posiciona socialmente como um investidor e negociante de criptomoedas.
Jornalistas do Zeit Online e da TV alemã Bayerischer Rundfunk conduziram sua própria investigação para localizar o russo; estudaram “pegadas” digitais nas redes sociais, canais anônimos do Telegram e no mundo das criptomoedas por vários meses. Eles identificaram pelo menos seis transferências de bitcoins de contas vinculadas a operações cibercriminosas para um endereço supostamente pertencente a Nikolai K.
Uma busca no Google pelo nome do suspeito usado nas redes sociais levou os jornalistas a um endereço de e-mail usado para se registrar em vários sites, com links para vários números de celulares russos. Um dos números levou a uma conta do Telegram em que o endereço do Bitcoin foi publicado. Mais de 400 mil euros foram transferidos para esse endereço, alegadamente obtidos em resultado de extorsão.
Esses endereços de Bitcoin levaram a polícia de Baden-Württemberg a incluir o nome de Nikolai K. como parte da investigação sobre o ataque de extorsão ao Teatro Nacional de Stuttgart em 2019. O ataque, que usou o ransomware Gandcrab, desativou os computadores do teatro por vários dias, forçando os funcionários a vender ingressos feitos a mão. Acredita-se que a administração do teatro acabou pagando aos cibercriminosos 15 mil euros em resgate e a partir daí esse pagamento começou a ser rastreado.
Na época, o grupo de cibercriminosos do qual Nikolai K. é supostamente membro operava sob o nome de Gandcrab. No entanto, policiais e especialistas em segurança da informação acreditam que esse mesmo grupo agora opera com o nome de REvil.
Recentemente o grupo reduziu suas atividades como resultado de uma operação de inteligência realizada pelo FBI em conjunto com parceiros internacionais. Os policiais conseguiram invadir a infraestrutura de rede do grupo para assumir o controle dos servidores.
FONTE: CISO ADVISOR